【正文】 .. . . ..園區(qū)網(wǎng)絡安全整體解決方案設計戴彬彬 計網(wǎng)0931目錄第1章 項目概述 3 校園網(wǎng)網(wǎng)絡環(huán)境 3 2：校園網(wǎng)網(wǎng)絡安全需求 3第2章 設計原則 4 實用性與經(jīng)濟性 4 擴展性與兼容性 4 安全性與可維護性 5 整合型好 6第3章 需求分析 6第4章 項目網(wǎng)絡安全解決 6 網(wǎng)絡架構(gòu)圖 6 網(wǎng)絡病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時候，需要準確定位到用戶 9 用戶上網(wǎng)時間的控制 9 用戶網(wǎng)絡權(quán)限的控制 10 各種網(wǎng)絡攻擊的有效屏蔽 10 對DOS攻擊，掃描攻擊的屏蔽 14 網(wǎng)絡設備管理 14第1章 項目概述 校園網(wǎng)網(wǎng)絡環(huán)境 校園網(wǎng)的內(nèi)部網(wǎng)一般由辦公網(wǎng)、機房、教室等多個網(wǎng)絡組成。采用三層核心交換機為這些網(wǎng)段提供VLAN劃分，該交換機級連多個工作組級的交換機用于桌面工作站接入。同時三層核心交換機提供連接到教育網(wǎng)的WAN（10/100M）鏈路，作為校園網(wǎng)的外網(wǎng)出口。而且WWW、MAIL等服務器也直接連接到了三層核心交換機中。校園網(wǎng)內(nèi)部網(wǎng)運行著辦公業(yè)務系統(tǒng)、多媒體教學等等多種業(yè)務系統(tǒng)。 2：校園網(wǎng)網(wǎng)絡安全需求 校園網(wǎng)網(wǎng)絡安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡系統(tǒng)，若干重要的公文信息在網(wǎng)絡傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴重的影響工作。所以校園網(wǎng)網(wǎng)絡安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，一旦被遭受黑客攻擊病毒的侵襲，將會給該學校正常的教學及業(yè)務帶來嚴重的影響。該校園網(wǎng)網(wǎng)絡安全系統(tǒng)方案必須遵循如下原則： 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。設計時需考慮統(tǒng)一管理的原則。 綜合性原則：網(wǎng)絡安全不單靠技術(shù)措施，必須結(jié)合管理，當前我國發(fā)生的網(wǎng)絡安全問題中，管理問題占相當大的比例，因此建立網(wǎng)絡安全設施體系的同時必須建立相應的制度和管理體系。 均衡性原則：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮。網(wǎng)絡中相同安全級別的保密強度要一致。 節(jié)約性原則：整體方案的設計應該盡可能的不改變原來網(wǎng)絡的設備和環(huán)境，以免資源的浪費和重復投資。第2章 設計原則 實用性與經(jīng)濟性實用性就是能夠最大限度地滿足實際工作的要求，是每個系統(tǒng)平臺在搭建過程中必須考慮的一種系統(tǒng)性能，它是對用戶最基本的承諾。辦公自動化硬件平臺是為實際使用而建立，應避免過度追求超前技術(shù)而浪費投資。 擴展性與兼容性系統(tǒng)設計除了可以適應目前的應用需要以外，應充分考慮日后的應用發(fā)展需要，隨著數(shù)據(jù)量的擴大，用戶數(shù)的增加以及應用范圍的拓展，只要相應的調(diào)整硬件設備即可滿足需求。通過采用先進的存儲平臺，保證對海量數(shù)據(jù)的存取、查詢以及統(tǒng)計等的高性能和高效率。同時考慮整個平臺的統(tǒng)一管理，監(jiān)控，降低管理成本 安全性與可維護性隨著應用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長，并且將涉及到各類的關(guān)鍵性應用，系統(tǒng)的穩(wěn)定性和安全性要求都相對較高，任意時刻系統(tǒng)的安全隱患都可能給用戶帶來不可估量的損失。網(wǎng)絡安全應具有以下五個方面的特征： u 保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。 u 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 u 可用性：可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊； u 可控性：對信息的傳播及內(nèi)容具有控制能力。 u 可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段 　　從網(wǎng)絡運行和管理者角度說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。 整合型好當前采用企業(yè)級的域控制管理模式，方便對所有學校內(nèi)所有終端用戶的管理，同時又可以將學校里計算機的納入管理范圍，極大地降低了網(wǎng)絡維護量，并能整體提高當前網(wǎng)絡安全管理！第3章 需求分析216。 網(wǎng)絡病毒的防范 216。 防止 IP、MAC 地址的盜用 IP、MAC 地址的盜用 216。 安全事故發(fā)生時候，需要準確定位到用戶的原因 216。 安全事故發(fā)生時候，不能準確定位到用戶的影響216。 學生用戶上網(wǎng)時間的控制 216。 用戶網(wǎng)絡權(quán)限的控制 216。 各種網(wǎng)絡攻擊的有效屏蔽216。 身份認證 216。 完整審計 第4章 項目網(wǎng)絡安全解決 網(wǎng)絡病毒的防范 病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。 病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。 防止IP、MAC地址的盜用 IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。 IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對校園網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。 安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：216。 國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。216。 校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學校或者說網(wǎng)絡中心只有替學生背這個黑鍋。安全事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。 用戶上網(wǎng)時間的控制 無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。 用戶網(wǎng)絡權(quán)限的控制 在校園網(wǎng)中，不同用戶的訪問權(quán)限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權(quán)限進行嚴格的控制。 各種網(wǎng)絡攻擊的有效屏蔽 校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行，降低了校園網(wǎng)的效率。安全到邊緣的設計思想用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。全局安全的設計思想銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。全程安全的設計思想 用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施。某校園網(wǎng)網(wǎng)絡安全方案銳捷網(wǎng)絡結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。事前的身份認證對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：216。 每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.216。 當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。216。 只有經(jīng)過網(wǎng)絡中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。網(wǎng)絡攻擊的防范 常見網(wǎng)絡病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。未知網(wǎng)絡病毒的防范對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關(guān)鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關(guān)鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。 對DOS攻擊，掃描攻擊的屏蔽 通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。事后的完整審計 當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。 網(wǎng)絡設備管理網(wǎng)絡設備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：網(wǎng)絡現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。對于網(wǎng)絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡中的異常情況。 網(wǎng)絡流量的查看STARVIEW在網(wǎng)絡初步異常的情況下，能進一步的察看網(wǎng)絡中的詳細流量，從而為網(wǎng)絡故障的定位提供了豐富的數(shù)據(jù)支持。網(wǎng)絡故障的信息自動報告STARVIEW支持故障信息的自動告警，當網(wǎng)絡設備出現(xiàn)故障時，會通過T